Debian Sarge: 2 schede di rete e 2 gruppi di IP

[Zingaro2002]

Salve gente!

Ho installato una fiammante Debian Sarge 3.1 r0a su un HP Proliant DL320 G3 che fa:
ftp server
proxy server
e fra un po' anche
web server
mail server
LAMP server

Veniamo al dunque.
Ci sono due schede di rete (NIC1 e NIC2) ma non sono del tutto sicuro che siano state riconosciute ed installate entrambe... perché quando sono entrambe attive la macchina non naviga più e non è più pingabile dalle altre macchine della LAN.

Ciò che vorrei fare, a regime, è: assegnare un gruppo di IP STATICI PRIVATI (192.168.0.xyz) (con gateway 192.168.0.6) alla prima scheda di rete e un altro gruppo di IP STATICI PUBBLICI (80.18.214.abc) (con gateway 80.18.214.145) alla seconda scheda di rete.
Per ora, per semplicità, ho provato ad assegnare un solo ip privato alla prima scheda e un solo ip pubblico alla seconda scheda.

domanda: come faccio a verificare che ENTRAMBE le schede di rete siano correttamente installate e funzionanti?

All'avvio i messaggi di boot sono troppo veloci e mi sembra di vedere l'avvio di eth0 ma non quello di eth1...

Se invece disattivo da KDE (K -> Sistema -> Rete) la seconda scheda allora entrambi gli IP risultano raggiungibili...

Chi mi sa dare qualche suggerimento?

Grazie in anticipo!

[Caleb]

comincia con, da shell:

ifconfig

e incolla i risultati

ci sarà anche da abilitare il routing ma ci pensiamo dopo

[Zingaro2002]

eth0 Link encap:Ethernet HWaddr 00:14:C2:3B:75:B0
inet addr:192.168.0.180 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::214:c2ff:fe3b:75b0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:488054 errors:0 dropped:0 overruns:0 frame:0
TX packets:412960 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:206650997 (197.0 MiB) TX bytes:372853784 (355.5 MiB)
Interrupt:201

eth0:0 Link encap:Ethernet HWaddr 00:14:C2:3B:75:B0
inet addr:80.18.214.147 Bcast:80.18.214.159 Mask:255.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:201

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:68209 errors:0 dropped:0 overruns:0 frame:0
TX packets:68209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41682063 (39.7 MiB) TX bytes:41682063 (39.7 MiB)

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Già che ci siamo vi metto anche l'/etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
name Scheda di rete Ethernet
address 192.168.0.180
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.6

auto eth0:0
iface eth0:0 inet static
name Scheda di rete Ethernet
address 80.18.214.147
netmask 255.255.255.241
network 80.18.214.145
broadcast 80.18.214.159
gateway 80.18.214.145

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

e l'/etc/network/options

ip_forward=no
spoofprotect=yes
syncookies=no

e l'/etc/network/run/ifstate

lo=lo
eth0=eth0


Grazie in ogni caso.
Bye

[Caleb]

stai assegnando due classi alla stessa scheda di rete eth0, per questo quando poi attivi la eth1 si impalla tutto... quest'ultima sta sulla stessa subnet della eth0:0 ed è una very bad thing; poi l'ip forward va abilitato

correggi così


/etc/network/interfaces:

auto lo
iface lo inet loopback

# The primary network interface
auto eth0:0
iface eth0:0 inet static
name Scheda di rete Ethernet00
address 192.168.0.180
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.6

auto eth1:0
iface eth1:0 inet static
name Scheda di rete Ethernet10
address 80.18.214.147
netmask 255.255.255.241
network 80.18.214.145
broadcast 80.18.214.159
gateway 80.18.214.145 (? questo a lume di naso è sbagliato, è identico all'indirizzo della subnet)


/etc/network/options:

ip_forward=yes
spoofprotect=yes
syncookies=no


ifstate si autogenera, comunque:

lo=lo
eth0=eth0
eth1=eth1


questo come base; per poi assegnare più indirizzi alla stessa eth fai così:

auto eth0:1
iface eth0:1 inet static
eccetera

auto eth0:2
iface eth0:2 inet static
eccetera

auto eth1:1
iface eth1:1 inet static
eccetera

auto eth1:2
iface eth1:2 inet static
eccetera

ecc. ecc...

[Zingaro2002]

Scusa se rispondo solo adesso.
Intanto grazie per i tuoi suggerimenti.

Ho provato l emodifiche che mi hai consigliato ma quando riavvio il networking (/etc/init.d/networking restart) ottengo questi messaggi:

Setting up IP spoofing protection: rp_filter
Enabling packet forwarding... done.
Configuring network interfaces...ifup: interface lo already configured
SIOCSIFFLAGS: Cannot assign requested address
Failed to bring up eth0:0
SIOCSIFFLAGS: Cannot assign requested address
Failed to bring up eth1:0


Non so se c'entra qualcosa... comunque: c'è un modo facile per gestire il firewall con debian sarge?

Con le regole di IPTABLES non vado molto d'accordo e temo di scombinare anche le cose che funzionano...

Grazie comunque in anticipo.

[Caleb]

acc, chiedo scusa, nel copiare dal tuo post ho scritto male una cosa

ci vuole almeno una direttiva ethN senza :M per ogni scheda di rete, se no non riesce ad assegnare una mazza

in pratica per ora dove c'è eth0:0 lascia solo eth0, idem per eth1

poi una volta che hai assegnato i due ip principali puoi creare nuove direttive con eth0:1, eth0:2, eth1:1, eth1:2, eccetera

per iptables non saprei dirti, sto cercando anch'io un frontend valido da tempo...

[Zingaro2002]

Dunque dunque...

Ho seguito le tue indicazioni e riavviando tutto sembra funzionare correttamente: la scheda eth0 ha l'IP privato 192.168.0.180 e risponde al ping (da un'altra macchina in LAN) e la scheda eth1 ha l'IP pubblico 80.18.214.147 e risponde anch'essa al ping... ma SOLO PER ALCUNI MINUTI!!!

Dopo alcuni minuti di splendido funzionamento l'IP pubblico smette di essere visibile (non risponde al ping), e questo SENZA ALCUN INTERVENTO DA PARTE DI NESSUNO!!!
L'ip privato invece continua regolarmente.

Come faccio a capire il perché di un funzionamento iniziale perfetto che poi cessa tutto ad un tratto (e solo nell'IP pubblico)?

Possibile che c'entri qualcosa il firewall? Come faccio a vederlo?

Anche dopo che l'ip pubblico smette di funzionare la scheda eth1 risulta comunque UP e funzionante infatti ifconfig mi dice:

eth0 Link encap:Ethernet HWaddr 00:14:C2:3B:75:B0
inet addr:192.168.0.180 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::214:c2ff:fe3b:75b0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1124 errors:0 dropped:0 overruns:0 frame:0
TX packets:111 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:118136 (115.3 KiB) TX bytes:15921 (15.5 KiB)
Interrupt:201

eth1 Link encap:Ethernet HWaddr 00:14:C2:3B:75:AF
inet addr:80.18.214.147 Bcast:80.18.214.159 Mask:255.255.255.240
inet6 addr: fe80::214:c2ff:fe3b:75af/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1019 errors:0 dropped:0 overruns:0 frame:0
TX packets:30 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:110991 (108.3 KiB) TX bytes:2336 (2.2 KiB)
Interrupt:209

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:800 errors:0 dropped:0 overruns:0 frame:0
TX packets:800 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:64133 (62.6 KiB) TX bytes:64133 (62.6 KiB)

°°°°°°°°°°°°°°°°°°°°°°°°°

my /etc/network/interfaces is

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
name Scheda di rete Ethernet0
address 192.168.0.180
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.6

auto eth1
iface eth1 inet static
name Scheda di rete Ethernet1
address 80.18.214.147
netmask 255.255.255.240
network 80.18.214.144
broadcast 80.18.214.159
gateway 80.18.214.145

°°°°°°°°°°°°°°°°°

Il mio /etc/network/options è

ip_forward=no
spoofprotect=yes
syncookies=no

and /etc/network/run/ifstate is

lo=lo
eth0=eth0
eth1=eth1

Ho provato anche a mettere l'ip pubblico su eth0 e quello privato su eth1 ma è la stessa cosa.

Ho provato anche ad attivare/disattivare l'ip forwarding ma nulla di fatto...
A proposito, ma a cosa serve l'ip forwarding?

Dimenticavo: se invece di configurare eth1 configuro eth0:0 (e stacco il cavetto dalla seconda schedadi rete) entrambi gli ip rispondono correttamente e per 'sempre').

[Caleb]

ustia, questa non mi era ancora capitata

non saprei proprio perchè ad un certo punto smetta di funzionare, potresti provare a dare un dmesg prima e dopo il funzionamento per scovare eventuali differenze

iptables -L per visualizzare le catene del firewall, magari incolla il tutto qui...

l'ip forwarding serve a far sì che un pc sulla rete 192.168.0.X possa pingare una macchina sulla rete dell'altra scheda di rete, quindi 80.18.eccetera, e viceversa; in pratica metti in comunicazione due reti con subnet differenti, se la cosa non è di tuo interesse lo puoi lasciare disabilitato (ho dato per scontato che volessi fare così)

[tagweb]

non ho capito bene una cosa, tu hai l'indirizzo pubblico su una eth ma davanti cosa hai? qual'e' la route statica di quell'interfaccia? usi un ip pubblico con un router sprecando tre ip al posto di uno forwardato su una lan privata?

qual'e' la route di default.... se da shell fai un traceroute verso internet su quale interfaccia esce?

posta un route -n

quando non ti risponde piu' l'ip pubblico se fai un arp -a vedi il mac address del default gw che hai per la eth con ip pubblico. Prova da esterno (quando non funziona l'ip statico) anche a vedere se raggiungi l'ultimo hop della macchina/apparato che sta davanti alla tua macchina, se cosi' non fosse potrebbe essere solo un problema tra te e l'apparato davanti.

io disabiliterei un attimo iptables e ragionerei prima sulle interfacce a livello basso e sul loro routing.

ps. ognuno fa come vuole ma IMHO su un server di produzione non installerei MAI Xserver (visto che parli di kde) e non posterei in nessun forum della terra con cosi' chiari gli ip e la struttura della lan.....editerei con gli asterischi tutti i tuoi post. Se chiedi un aiuto e' il concetto ed il problema che hai ad essere importante, non gli ip. Ovviamente spero non ti risentirai di questi miei suggerimenti, ciao

[Zingaro2002]

Grazie ad entrambi.

Come avrete capito non sono molto esperto di reti e fino ad ora non mi era mai capitato di dover far convivere sulla stessa macchina un ip privato ed un ip pubblico...

Veniamo al dunque:

l'ip 192.168.0.180 è l'unico visibile da un'altra nostra rete aziendale (192.168.9.vv con gateway 192.168.0.6) e su di esso ho installato il proxy server, dunque se lo tolgo un bel po' di miei colleghi-proxy non possono navigare

sull'ip pubblico 80.xx.yy.147 ho invece l'ftp server, che deve essere visibile dovunque.

Se metto la configurazione del mio penultimo post succede che la mia macchina server esce su Internet con il gateway 80.xx.yy.145 e NON è visibile dagli utenti-proxy
Per sistemare questa cosa ho messo

/etc/network/interface:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
name Scheda di rete Ethernet0
address 80.xx.yy.147
netmask 255.255.255.240
network 80.xx.yy.144
broadcast 80.xx.yy.159
#gateway 80.xx.yy.145

auto eth1
iface eth1 inet static
name Scheda di rete Ethernet1
address 192.168.0.180
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.6

Adesso il server è visibile dagli utenti-proxy ma l'ip pubblico continua a non essere visibile da nessuno (nemmeno per qualche minuto come accadeva prima).

Attualmente se faccio
route -n
ottengo
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.xx.yy.144 0.0.0.0 255.255.255.240 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.6 0.0.0.0 UG 0 0 0 eth1

***
usi un ip pubblico con un router sprecando tre ip al posto di uno forwardato su una lan privata?
***

Purtroppo sì... l'amministratore di rete dice che fare una nat sul router che forwardi tutti gli ip pubblici verso un solo ip privato (o verso alcuni ip privati) comporterebbe un carico di lavoro eccessivo per il nostro router... dunque devo necessariamente far convivere ip pubblici ed ip privati sulla stessa macchina.

***
io disabiliterei un attimo iptables e ragionerei prima sulle interfacce a livello basso e sul loro routing
***

Come si disattiva-riattiva iptables?

Attualmente iptables -L mi da'

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

***
su un server di produzione non installerei MAI Xserver (visto che parli di kde)
***

Siccome non sono un grande smanettone di linux ho bisogna di un'interfaccia grafica e quella che conosco meglio è kde... ma perché sarebbe così grave?
E' una debian sarge e la tengo stable con pacchetti stable solo dei repositry ufficiali...

°°°
non posterei in nessun forum della terra con cosi' chiari gli ip e la struttura della lan.....
°°°

e infatti gli ip non sono mica quelli veri!
Però penso che possa essere utile per fare un debug accurato del mio problema...

Grazie ad entrambi (anche per le critiche costruttive)... aspetto ulteriori commenti.